2 1 3

Wat doe je als de hackers al binnen zijn?

Door Sebastiaan de Vries


Wereldwijd zijn er 26 miljard apparaten die gebruik maken van het internet, waarvan de meeste met gebrekkige beveiliging. Cyberaanvallen worden steeds meer geavanceerd en winstgevend. Statistisch gezien; ben je al gehackt.

Hoe gaan hackers te werk?

Als een bedrijf doorheeft dat ze gehackt zijn, krijg ik als eerste vraag “hoe heeft dit kunnen gebeuren?”. Hoe een hacker binnen weet te komen wordt een stuk begrijpelijker als je snapt wat voorafgaat aan een aanval. Vaak verzamelt een hacker namelijk al enige tijd informatie over jou, ook wel ‘Reconnaissance’ genaamd. Dit kan vanalles zijn. Van je IP-adres en welke software je gebruikt tot wat je collega op facebook heeft gezet. Uit al deze informatie kan je afleiden waar de kwetsbaarheden in je beveiliging zitten. En hoe hier gebruik van te maken.

Wat kunnen we doen om ons te beschermen?

Vaak loop je eigenlijk al achter de feiten aan. Met de hoeveelheid tijd die hackers besteden aan reconnaissance, is de vraag niet ‘of’ maar ‘wanneer’ ze een manier vinden om binnen te komen. Maar ook als een hacker binnen is, heeft hij zeker nog niet gewonnen! Al helpt het natuurlijk wel als we weten dat er een hacker binnen is. En dat is waar ik kom helpen.

Ik ben veel betrokken bij de implementaties van Intrusion Detection Systemen (IDS) en Intrusion Prevention Systemen (IPS). Dit zijn effectief beveiligingscamera’s die naar computers kijken in plaats van deuren. Op basis van deze applicaties stel ik vervolgens Incident Response plannen op. Dit is als het ware de cyber security variant van een BHV-plan.

Hoe ziet Incident Response eruit?

We spreken over Incident Response wanneer we een bevestiging van een incident hebben. Denk aan een medewerker die aangeeft gehackt te zijn, maar ook aan verdacht gedrag dat wordt gesignaleerd door onze IDS of IPS. Vanaf dit punt heb ik drie taken; Identify, Contain & Eradicate.

  1. Identify
    Eerst moet ik het incident correct identificeren. Wat is precies de situatie? Geeft een gebruiker bijvoorbeeld aan dat de nieuwe applicatie op zijn computer bestanden heeft verwijderd en hem nu vraagt om Bitcoins? Dan zijn dat kenmerken van een ransomware aanval. Op basis van deze informatie voer ik dan een specifiek ransomware plan uit.
  2. Contain
    Bij de ‘Contain’ fase voorkom ik dat het incident zich verspreidt. In het geval van ransomware isoleren we de getroffen systemen. Dit betekent dat ik de netwerktoegang van en naar het apparaat verbreek. Dit kan via een specifiek software, maar ik kan ook gewoon naar de gebruiker lopen en het apparaat confisqueren.
  3. Eradicate
    Tot slot richt ik in de ‘Eradicate’ fase mij op het stoppen van het incident. In het voorbeeld van de ransomware moet ik de laptop wissen en een back-up terugzetten. Helaas zijn soms niet alle bestanden meer te redden.

En als het incident voorbij is, wat dan?

Na afloop van de Eradicate fase hou ik nog een oogje in het zeil. Puur om te bevestigen dat we écht alles weg hebben gehaald van het apparaat. Na het afronden van grote incidenten ga ik vaak eerst met mijn team uit eten om te vieren dat we gewonnen hebben. Daarna kijk ik waar de verbeterpunten in mijn werk liggen, zodat ik volgende keer nóg sneller de aanval kan stoppen!


Gaat jouw hart nu ook sneller kloppen van cyber security? En help jij grote organisaties graag met security vraagstukken? Kijk dan eens bij onze openstaande vacatures en wie weet werk jij, net als Sebastiaan, straks ook aan mooie opdrachten!